Blog

Más infracciones, más problemas: el coste de la confianza en las aplicaciones de terceros

July 5, 2018
Pieter Danhieux

No es ningún secreto que nuestra misión principal es hacer que el software y su desarrollo sean seguros; diseñados teniendo en cuenta la seguridad desde el principio de la producción. Nuestra visión establece un nuevo punto de referencia para la creación de software, en el que los desarrolladores cuentan con las habilidades y los conocimientos necesarios para detectar código vulnerable durante el proceso de escritura y corríjalo incluso antes de que se convierta en un problema.

Por lo tanto, teniendo esto en cuenta, puede pensar que estamos encantados de enterarnos de las nuevas violaciones de datos, ciberataques y códigos explotados que afectan a empresas de todo el mundo; esos incidentes sin duda destacan la necesidad de nuestro servicio en varios mercados verticales. La verdad es que es bastante frustrante. Está claro que, como industria, cometemos los mismos errores una y otra vez, porque la mayor parte de la educación sobre seguridad simplemente no es lo suficientemente sólida como para minimizar el riesgo y detener estas infracciones.

La última víctima de violación de datos es Ticketmaster. Si estuvieras entre los miles de clientes afectados, habrías recibido un correo electrónico notificándote el incidente y cambiándote la contraseña. Nadie espera que se violen sus datos personales simplemente por comprar entradas para un concierto o un evento deportivo, pero aquí estamos.

Es una situación terrible para todos, perjudicial para la reputación de Ticketmaster y para una pésima experiencia de cliente. Sin embargo, hay un problema: no fue del todo culpa de ellos.

Verá, la empresa utilizó los servicios de una aplicación de atención al cliente de terceros de Inbenta Technologies. Ticketmaster UK descubrió que el producto contenía código malicioso, lo que ponía en peligro el cinco por ciento de los datos de sus clientes de todo el mundo.

¿Y cómo se las arreglaron los piratas informáticos para explotar este sistema? ¿Ellos manipuló una sola línea de código JavaScript, personalizado por Inbenta Technologies para los requisitos de Ticketmaster. Según Inbenta, el código se usó en una página para la que no estaba diseñada y, de haberlo sabido, lo habrían identificado como una vulnerabilidad de seguridad.

La vulnerabilidad en sí misma es esencialmente un problema de seguridad de la biblioteca de carga/almacenamiento de archivos, en el que una sola violación puede afectar a todos los sitios en los que se carga el mismo código. Para empezar, el código se puede modificar para recopilar y redirigir datos personales a los atacantes. Se trata de un ataque sencillo con un potencial de daño de gran alcance, y es algo contra lo que estamos trabajando para defendernos con un variedad de ejercicios de entrenamiento en la plataforma para desarrolladores.

Por supuesto, es prácticamente imposible administrar una empresa sin depender de algunas aplicaciones de terceros. Sin embargo, no puedes controlar la forma en que crean su software y, básicamente, no tienes ninguna visibilidad sobre el nivel de seguridad de su código. Se convierte en un ejercicio de confianza. Si su socio externo es laxo en sus prácticas de codificación segura, es posible que esté abriendo la puerta a una violación vuestroempresa.

Entonces, ¿cuál es la solución? En pocas palabras: todos debemos hacerlo mejor. Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.

Es más fácil de lo que piensa dotar a su equipo de desarrollo de las herramientas y los conocimientos adecuados para adoptar la seguridad y detener el código incorrecto. Nos complace ver que muchas de las empresas financieras, de telecomunicaciones, minoristas y tecnológicas más grandes y conocidas del mundo han adoptado este nuevo enfoque, pero las empresas de la lista Fortune 100 no deberían dedicarse exclusivamente a la educación en materia de seguridad. Todas las empresas que cuentan con desarrolladores entre su personal necesitan impartir formación para ayudar a los equipos a programar de forma segura.

El documento técnico publicado recientemente que escribí junto con nuestro director de tecnología, Matias Madou, muestra los beneficios de crear una cultura de seguridad en su organización. Detallamos por qué es la clave para impulsar la innovación, mantener la agilidad y reducir el impacto financiero del código inseguro.

Encontrará consejos que incluyen:

* Cómo hacer que la formación en seguridad sea relevante y atractiva para los desarrolladores

* Cómo enseñar a los desarrolladores a identificar y solucionar sus propios problemas

* Cómo ayudar a los desarrolladores a crear su propio código de forma segura.

Te invito a descarga este recurso y úsala para defender la seguridad en tu organización, desarrollar las habilidades de tu equipo y estar a la vanguardia del establecimiento de un estándar de código más alto.

Debemos dejar de pensar en la seguridad como un obstáculo irritante en el camino de la innovación empresarial.
Share on social
Lema

Govern AI-driven development before it ships

Measure AI-assisted risk, enforce secure coding policy at commit, and accelerate secure delivery across your SDLC.

book a demo
book a demo
Lema

Explore more blogs

Lorem ipsum diam quis enim lobortis scelerisque fermentum dui faucibus in ornare quam viverra orci sagittis eu volutpat odio facilisis.

browse all
Case Study
Filter Label
This is some text inside of a div block.

Supercharged Security Awareness: How Tournaments are Inspiring Developers at Erste Group

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Suspendisse varius enim in eros elementum tristique. Duis cursus, mi quis viverra ornare, eros dolor interdum nulla, ut commodo diam libero vitae erat. Aenean faucibus nibh et justo cursus id rutrum lorem imperdiet. Nunc ut sem vitae risus tristique posuere.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Security as culture: How Blue Prism cultivates world-class secure developers

Learn how Blue Prism, the global leader in intelligent automation for the enterprise, used Secure Code Warrior's agile learning platform to create a security-first culture with their developers, achieve their business goals, and ship secure code at speed

Learn More
Case Study
Filter Label
This is some text inside of a div block.

One Culture of Security: How Sage built their security champions program with agile secure code learning

Discover how Sage enhanced security with a flexible, relationship-focused approach, creating 200+ security champions and achieving measurable risk reduction.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Post-Quantum Cryptography: Quantum Computers Will Break Today’s Encryption – Are You Ready?

Post-quantum cryptography (PQC) is critical for protecting data from quantum computing threats. Learn how “harvest now, decrypt later” exposes risk and how developers can prepare for quantum-safe security.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Enabler 2: Senior Leadership Sponsorship

Explore Enabler 2: Senior Leadership Sponsorship. Learn why active buy-in from the CIO, CTO, and CISO is vital to drive developer adoption and program credibility.

Learn More
Case Study
Filter Label
This is some text inside of a div block.

Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI

While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.

Learn More

Secure AI-driven development before it ships

See developer risk, enforce policy, and prevent vulnerabilities across your software development lifecycle.

Book a demo